Все самые популярные приложения для бронирования гостиниц и туров содержат уязвимости

Абсолютно все самые популярные приложения для бронирования гостиниц и туров, которые россияне скачивают из разных маркетов приложений, содержат уязвимости, сообщили ТАСС в вендоре AppSec Solutions.
 
Аналитика собиралась по 100 «самым популярным» приложениям для россиян из разных магазинов приложений.
 
Всего в рамках своего исследования компания выявила 1 336 брешей в приложениях этой категории. Из них 381 была с высокой степенью риска для пользователей или оператора приложения. В частности, было выявлено неверное хранение валидных токенов от других сервисов внутри приложения (может привести к доступу в приложение с помощью стороннего сервиса).
 
Результаты исследования подтверждают серьёзность проблемы кибербезопасности в сегменте туристических приложений, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор партийного проекта «Цифровая Россия» Антон Немкин.
 
«Уязвимости, выявленные в более чем сотне популярных сервисов бронирования, демонстрируют системные пробелы в обеспечении защиты пользовательских данных. Наличие критических брешей — таких, как хранение валидных токенов от сторонних сервисов внутри приложений – особенно плохой знак. Это открывает злоумышленникам путь к несанкционированному доступу и потенциальной краже данных, включая финансовую информацию, историю бронирований и даже документы», - подчеркнул депутат.
 
Важно понимать, что туристические приложения — один из наиболее привлекательных объектов для атак, так как они обрабатывают большое количество личной информации: паспортные данные, номера карт, адреса, маршруты. Невнимательность разработчиков к вопросам безопасной архитектуры делает такие сервисы лёгкой добычей. При этом пользователи, как правило, не подозревают, что их данные могут храниться в небезопасной среде, и доверяют приложению на основании его узнаваемости или рейтинга, добавил Немкин.
 
«Отдельно стоит подчеркнуть, что основной вектор атак в этой сфере всё же — социальная инженерия. Мошенники не всегда используют технические бреши, часто они просто обманывают пользователей, подделывая интерфейсы, отправляя фишинговые письма или создавая поддельные службы поддержки. Однако наличие технических уязвимостей значительно облегчает подобные атаки: злоумышленник может использовать украденные токены, чтобы выдать себя за пользователя, получить доступ к аккаунту и действовать от его имени», - предупредил депутат.
 
Для защиты пользователям необходимо соблюдать базовую цифровую гигиену: скачивать приложения только из официальных источников, использовать сложные пароли и двухфакторную аутентификацию, а также внимательно относиться к любым подозрительным сообщениям. «Со своей стороны, разработчики обязаны пересмотреть подход к безопасности, внедряя практики secure-by-design, проводить регулярные аудиты и реагировать на отчёты специалистов по кибербезопасности. Только совместными усилиями можно сократить риски и создать по-настоящему безопасную цифровую среду в туристической отрасли», - заключил Немкин.